Access-Control-Allow-Credentials
Access-Control-Allow-Credentials
响应报头指示的请求的响应是否可以暴露于该页面。当true
值返回时它可以被暴露。
Credentials可以是 cookies, authorization headers 或 TLS client certificates。
当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET
请求不是预检的,所以如果请求使用凭证的资源,如果此资源不与资源一起返回,浏览器将忽略该响应,并且不会返回到 Web 内容。
Access-Control-Allow-Credentials
的 header 文件与该XMLHttpRequest.withCredentials
属性或者在提取 API credentials
的Request()
构造函数中的选项一起工作。必须在双方(Access-Control-Allow-Credentials
的 header 和 XHR 或 Fetch 请求中)设置证书,以使 CORS 请求凭证成功。
Header type |
Response header |
Forbidden header name |
no |
语法
Access-Control-Allow-Credentials:
true
指令
True -- 这个头的唯一有效值(区分大小写)。如果不需要credentials,相比将其设为false,请直接忽视这个头例子
允许凭证:
Access-Control-Allow-Credentials:
true
使用 XHR 凭证:
varxhr =
newXMLHttpRequest();
xhr.open(
'GET',
'http://example.com/',
true);
xhr.withCredentials =
true;
xhr.send(
null);
使用提取凭证:
fetch(url, {
credentials
:
'include'
})
规范
Specification |
Status |
Comment |
FetchThe definition of 'Access-Control-Allow-Credentials' in that specification. |
Living Standard |
Initial definition |
Access-Control-Allow-Headers
响应首部 Access-Control-Allow-Headers
用于 preflight request (预检请求)中,列出了将会在正式请求的 Access-Control-Request-Headers
字段中出现的首部信息。
简单首部,如 simple headers、Accept
、Accept-Language
、Content-Language
、